상단영역

본문영역

“적용 대상 파악 우선, 세밀한 관리체계 수립 필요” 한콘진, 게임업계 대상 GDPR 설명회 개최

  • 정우준 기자 coz@khplus.kr
  • 입력 2018.06.19 11:31
  • 수정 2018.06.19 11:36
  • 글씨크기
이 기사를 공유합니다

지난 5월 25일부터 EU(유럽연합) 내 모든 서비스에 GDPR(일반 개인정보보호법)이 적용됨에 따라, 글로벌 서비스를 진행 중인 국내 게임업계 역시 대응방안 모색에 고심하고 있다. 
 

▲  ‘EU GDPR 시행에 따른 게임업계 설명회’ 현장 (사진=경향게임스)

이와 관련해 한국콘텐츠진흥원과 한국게임산업협회는 지난 6월 18일 서울 강남구 소재 스타트업얼라이언스 엔스페이스에서 ‘EU GDPR 시행에 따른 게임업계 설명회’를 개최했다. 이날 행사에는 조수영 숙명여자대학교 법과대학 교수, 김도엽 법무법인 태평양 변호사, 성경원 SK인포섹 이사 등 학계·법조계·산업계 인사들이 참석, GDPR 가이드라인 설명과 기업 대응방안 공유에 나섰다.
 

▲  조수영 숙명여대 법대 교수 (사진=경향게임스)

가장 먼저 발제에 나선 조수영 교수가 GDPR에 대한 자세한 개념 소개에 나섰다. GDPR은 EU 내 혹은 해당 지역을 대상으로 하는 모든 서비스에 적용되는 일반 개인정보보호법으로, 국내 개인정보보호법의 주목적인 정보 주체의 사생활 목적에 제대로 준수한 경우 해당 개인정보에 대한 자유로운 이동을 보장하는 이원적인 성격의 법률이다. 회원국들의 헌법 요구 수준에 맞춰 제정됐으며, 미성년 보호연령 등 각 국가의 재량에 맡기는 위임 요소도 존재한다.
더불어 GDPR은 크게 173개의 전문과 총 11장 99개 조항으로 이뤄진 본문으로 구성돼있다. 이에 조 교수는 전문과 연계해 본문 조항을 해석하는 만큼, 본문에만 집중할 경우 법적용에 애로사항이 발생할 수 있다고 지적했다. 적용 범위 역시 속지주의에 입각해, EU 회원국 영역 내의 모든 정보주체를 대상으로 한다. 예를 들어 EU를 대상으로 한 국내 기업의 서비스에 회원국 시민이 접속하고, 회원국 언어 하나라도 지원한다면 GDPR 적용 대상이라는 의미다.
 

▲  ‘EU GDPR 시행에 따른 게임업계 설명회’ 현장 (사진=경향게임스)

GDPR 처리의 적법성을 판단하는 근거로는 동의 외에도 계약 이행, 법적 의무, 필수 이익, 공공업무, 정당한 이익 등이 활용될 수 있다. 다만 대다수 기업들이 개인정보 취득을 위해 활용하는 ‘동의’ 만으로 적법성을 인정받기 위해서는 기존의 간소화된 형식적인 동의가 아닌 명확한 표현을 바탕으로 한 서면 기록과 정보주체의 능동적인 의사가 표시돼야한다. 특히 해당 국가에서 미성년으로 분류한 연령의 정보주체는 부모나 친권자에게 이메일을 보내 동의 여부를 재차 확인하는 절차가 추가적으로 필요하다.
또한 GDPR에도 국내 개인정보보호법 상의 위·수탁 관계와 유사한 콘트롤러와 프로세서가 존재한다. 여기서 콘트롤러는 단순히 개인정보를 처리하는 주체가 아니라, 이를 처리하는 목적과 방법을 결정하는 주체를 의미한다. 이에 따라 콘트롤러는 개인정보를 수집해야할 의무가 존재하지 않고, 프로세서가 지위에 반하는 업무를 하지 않는 선에서 모든 책임 역시 콘트롤러가 지게 된다. 이외에도 GDPR 적용기업이라면 DPO(Data Protection Officer) 임명과 역내 대리인 서면 지정이 필수다. 특히 국내법상 책임자적 성격이 강한 CPO와 달리 DPO는 개인정보처리 활동 전반에 관한 자문 및 조직관리 체계를 구축하는 전문가로, 관련 업무와의 이해상충이 발생하지 않도록 독립적인 지위를 확보해야한다. 
 

▲  김도엽 법무법인 태평양 변호사 (사진=경향게임스)

이어 김도엽 변호사와 성경원 이사는 실무 차원에서 기업들이 고려해야 할 GDPR 관련 대응방안에 대한 논의를 진행했다. 우선 김도엽 변호사는 “GDPR은 책임성·투명성·비례성이 핵심 요소”라며, “유럽사법재판소의 판결이나 워킹파티의 예시에 따르면 유동 I·P나 회사 이메일, 구글 플랫폼 내 광고 ID도 개인정보 범위에 포함될 수 있다”고 조언했다. 이에 개인정보 처리를 위한 적법한 근거를 마련하기 위해서는 정당한 사유 없이 변경 불가능하도록 문서화하고, 비교형량이 가능한 LIA(비교평가서)도 준비해야하며, 강제적인 검토 프로세스를 마련하고 각 서비스별로 어느 단계에 위치해있는지를 파악하기 위한 대시보드도 필요하다. 이와 함께 대량 정보나 민감정보, 개인평가정보를 처리하는 경우에는 DPIA(개인정보처리 사전영향평가)가 권고사항이며, 불행하게 개인정보가 유출되는 상황에 대비해 72시간 내 규제기관 신고 및 실시간 정보주체 통지를 위한 계획도 미리 준비해야한다.
 

▲  성경원 SK인포섹 이사 (사진=경향게임스)

이와 함께 성경원 이사는 “국내 기업들이 앞서 개인정보보호법이나 망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)을 충족하기 위해 많은 파고를 거쳐왔다”며, “기존에 구축해놓은 개인정보관리체계를 기반으로 GDPR의 요구사항에 맞춰 발전시키는 것이 관건”이라고 지적했다. 특히 GDPR 위반 시 징벌적 성격이 강한 과징금은 기업사 전체 매출액을 기준으로 하며, 일반적 위반에 대해서는 최대 2%, 위반의 중대성 및 지속기간·의도성·콘트롤러 및 프로세서의 조치·감독기구와의 협조 수준 등 11가지 기준을 장기간 심각하게 위배한 경우 최대 4%까지 부과할 수 있다. 이에 성 이사는 정보주체의 권리보장을 목적으로 정책과 조직, 핵심 프로세스를 이끄는 리더쉽과 양 축에 개인정보처리 및 보안이슈관리가 갖춰진 GDPR 대응 관리체계 모델이 필요하다고 강조했다. 

 

[경향게임스=정우준 기자]

저작권자 © 경향게임스 무단전재 및 재배포 금지

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음